2. 程式人生 > >oracle中mybaties關於排序傳參order by 的問題

oracle中mybaties關於排序傳參order by 的問題

阿新 發佈:2018-11-21

java中:String order="  person_name  desc"

 

在mapper中:

<if test="order ! =null">

order by  #{order}

</if>

讀取有問題,排序無效,這樣的寫法是有問題的。

使用#{}格式的語法會導致MyBatis建立預處理語句屬性並以它為背景設定安全的值(比如?)。

這樣做很安全,很迅速也是首選做法,但是有時你只是想直接在SQL語句中插入一個不改變的字串。

例如,當需要傳入排序引數時:
ORDER BY ${columnName}
這裡MyBatis不會修改或轉義字串。

 

正確寫法應是:

<if test="order ! =null">

order by  ${order}

</if>

重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。

總的來說,當order by 傳參的時候要用$符號,用#不生效(儘管你在控制檯看到的生成語句是正確的,但是結果就是不對的)
 

相關推薦

oraclemybaties關於排序order by 的問題

java中:String order="  person_name  desc"   在mapper中: <if test="order ! =null"> order by  #{order} </if> 讀取

【MyBatis】sql語句的按時間排序無效問題order by create_time desc

mybatis的mapper檔案中書寫sql語句,但是根據時間倒序查詢的order by create_time 突然無效了,這是為什麼?導致無效的原因:時間格式做了改變,時間欄位別名和原始欄位重名,導

Vue:axiosPOST請求問題

color catch str ios 接收 django框架 nsf head con vue的ajax請求用的是axios組件,結果在用到post請求的時候,發現給後臺傳data時,後臺(python語言+django框架)接收不到。 後臺的request.body顯示

Vue:axiosPOST請求問題---傳遞數組 (補充)

form div 個數 json array 利用 val 失敗 轉化 在上一篇文章中提到的------transformRequest方法,也會將數組解析成字符串傳給後臺。 那麽如何避免這個問題? (一) 將數組轉化為json字符串 通過JSON.stringify()轉

向scrapy的spider,實現增量

爬蟲 scrapy有時候需要根據項目的實際需求向spider傳遞參數來控制spider的運行方式。比如說,1.根據用戶提交的url來控制spider爬取的網站。2.根據需求增量爬取數據。今天就寫一個增量(augmenter)的方式:1.首先在spider裏添加註:在網上也看了不少的博客,最後發現*args,

bat文件調用的問題

msdn process then .com allow cti note 文件中 shell https://blogs.msdn.microsoft.com/twistylittlepassagesallalike/2011/04/23/everyone-quotes-

Vue通過URL

本文采用的為使用query; 傳參: this.$router.push({ path: '/urlpass', query: { id: 'a' } }) 取值:

java給main的方式

引用網址:https://blog.csdn.net/liuxingtianshi9570/article/details/39101047 一、從命令列傳參。        從cmd中進入到原始碼所在的位置,用命令:java 類名 第一個引數

Vue路由的

文章目錄 示例 原始碼 結果 分析   在專案開發中,需要用到路由傳參的地方往往很多,比如說根據新聞列表頁面查詢新聞詳情,此時我們就需要將該條新聞的id資訊傳遞給新聞詳情頁面。   而在vue-route

WebApiPost請求時後端的接收方式

1.單引數 [FromBody]+變數方式(不推薦):如public string PostUser([FromBody] string user_id){} 由於我們的前端習慣用key/value的方式進行請求,而此法要求key為空,有點不三不四,程式碼不規範,故此不推薦。總不能都是你寫的

thymeleaf onclick動態用到轉義字元

<a href="javascript:void(0)" th:onclick="'javascript:del(\''+${product.id}+'\')'">刪除</a>     th:onclick="'javascript:del(\'&nb

reactonClick事件

初心-楊瑞超個人部落格誠邀您加入qq群(IT-程式猿-技術交流群):757345416 在我們實際開發中,單擊事件傳參也是經常用到的,下面我們來研究下傳參問題。 正常繫結事件: <button className="clear-completed" onCli

IE、FireFox、Chrome瀏覽器關於URL中文亂碼,解決相容性問題!

前臺用url傳值中文,後臺用request.getParameter接收引數。在Firefox,Chrome等瀏覽器中沒有問題。但用IE瀏覽器就又會出現引數中文亂碼現象。         IE、 Firefox、Chrome瀏覽器對URL的處理各不相同,瀏覽器在傳輸URl時

sql分組排序(union order by排序問題)

在實際的查詢過程中我們時常會有這樣的需求:某一類資料很重要要排在前面,其他資料排在後面,預設安裝建立時間或者其他欄位進行排序,這時候最好的辦法就是用union 將查詢到的兩個資料集進行組合排序,新增一個偽列對分組進行組外排序,sql如下: select * from( SELECT *,1 as

Postman,陣列格式

前提:一般在postman中,以json形式傳參 { "loanUserId":1, "phone":12345678910, "templateId":9, "isNotify":"true

SQL 檢索排序資料(ORDER BY子句)

ORDER BY 子句用於對結果集按照一個列或者多個列進行排序。 ORDER BY 子句預設按照升序對記錄進行排序。如果需要按照降序對記錄進行排序,您可以使用 DESC 關鍵字。 注意:ORDER BY 子句應該位於FROM子句之後,若使用LIMIT關鍵字時,LIMIT關

mybatis 呼叫oracle儲存過程,、返回遊標的值獲取--示例

1,dao層程式碼 Integer currentlq_fsx = getSqlSession().selectOne("lqMapper.maxscore"); Map<String,Object> map = new HashMap<String,O

ThinkPHP5 對html頁面的url操作

◆ 背景 畢竟PHP開發的框架多數都會和前端頁面巢狀使用,而不同的框架升級多少都會有所變化,這畢竟是其中的一個知識點吧,在我找不到方法前,考慮的是隱藏域提交“ID”,然後後臺post處理取出此ID,

LINQ排序,用order by 子句進行排序

        在LINQ中,orderby子句可以同時指定多個排序元素,還可以為每個排序元素指定獨立的排序方式。orderby語句後的第一個的排序元素為主要排序,第二個位次要排序,依次類推,如下所示,將所有學生首先按照姓名的字元數從少到多排序,其次按照學生年齡從高到低排序

MyBatis排序時使用order by 動態引數時需要注意,用$而不是#, #{}和${}的區別以及order by注入問題

ORDER BY ${columnName}這裡MyBatis不會修改或轉義字串。重要:接受從使用者輸出的內容並提供給語句中不變的字串,這樣做是不安全的。這會導致潛在的SQL注入攻擊,因此你不應該允許使用者輸入這些欄位,或者通常自行轉義並檢查。 #{}相當於jdbc中的